关键漏洞信息 漏洞名称: MS06-042 Related Internet Explorer 'Crash' is Exploitable 日期: August 22, 2006 严重性: High 受影响系统: - Windows 2000 with IE6 SP1 and MS06-042 hotfix installed - Windows XP SP1 with IE6 SP1 and MS06-042 hotfix installed CVSS评分: 7.5/10 CVE编号: CVE-2006-3869 CWE编号: CWE-Other 风险等级: High 本地利用: No 远程利用: Yes 影响分数: 6.4/10 攻击复杂度: Low 机密性影响: Partial 完整性影响: Partial 可用性影响: Partial 可利用性分数: 10/10 认证需求: No required 漏洞概述 2006年8月8日,微软发布了MS06-042,这是一个针对Internet Explorer的累积更新。 该修补程序发布几天后,Internet Explorer用户在查看某些网站时开始遇到浏览器崩溃的问题。 Microsoft创建了一篇知识库文章,讨论与MS06-042修补程序相关的问题以及当查看使用压缩的网页时Internet Explorer如何崩溃。 安全研究人员,包括eEye,决定调查这一问题,结果发现许多次崩溃可以被利用。 研究人员确认,这是因为某些使用压缩的网站导致在Internet Explorer内发生非恶意性的缓冲区溢出。 确认这是一个可利用的条件后,研究者发布告警向公众说明这些“崩溃”问题的真正严重性。 预防措施 Windows 2000 IE6 SP1系统: - Microsoft创建并发布了非公开修补程序,可通过Microsoft PSS流程获取。 - 可参考KB923762中Microsoft提供的禁用HTTP1.1功能的方案作为临时措施。 Windows XP SP1 IE6 SP1系统: - 最好的保护措施是将XP系统升级到Windows XP SP2。 - 如果无法升级,可通过Microsoft PSS流程获取KB923762中提到的补丁。 参考链接 MS06-042公告: http://www.microsoft.com/technet/security/Bulletin/MS06-042.mspx SANS: http://isc.sans.org Microsoft KB文章: http://support.microsoft.com/?kbid=923762 SANS线程: http://isc.sans.org/diary.php?storyid=1588